Contato
Quem Somos
Quero Patrocinar

Como criar um SOC de próxima geração

  • Por: Redação
  • outubro 11, 2019

Compartilhar:

Para as organizações que administram SOCs (Security Operations Center – Centros de Segurança Operacional) há vários anos, a pergunta é: como você pode obter maior valor agregado e melhorar o retorno do investimento?

 

Na medida em que as ameaças cibernéticas crescem, os SOCs estão cada vez mais famintos por recursos. Encontrar analistas de segurança altamente treinados é complicado devido à falta de pessoal qualificado. Enquanto isso, os atacantes estão ficando cada vez mais sofisticados. Para as organizações, isso significa recorrer à automação para melhorar o desempenho de seus SOCs.

 

Comece a jornada de automação

Nos SOCs tradicionais, os analistas passam muito tempo lidando com ameaças conhecidas e pouco tempo procurando novas ameaças e combatendo ataques direcionados. Com alguma automação inteligente para cuidar das tarefas repetitivas, os analistas do SOC terão tempo para trabalhar no aspecto mais produtivo da segurança cibernética.

 

Existem três níveis de ameaças que os SOCs geralmente abordam. As mais fáceis são as ameaças conhecidas, como malwares, worms e vírus, que podem estar ativos há anos. Isso geralmente é tratado com facilidade pelo SOC, pois há muitos patches testados e aprovados para cuidar da defesa.

 

Em seguida, vêm os malwares um pouco mais desafiadores e os ataques zero day, que estão se tornando mais frequentes. O SOC pode resolvê-los sem muita dificuldade, desde que siga as diretrizes das melhores práticas.

 

No outro espectro estão as ameaças mais sofisticadas. São ataques direcionados onde um determinado grupo criminoso (ou mesmo um país) está preparado para coordenar pacientemente um ataque à uma organização por várias semanas (ou meses).

Esses ataques direcionados são, justamente, onde a maior parte do foco do SOC precisa estar. Porém, na configuração tradicional, os analistas de segurança não conseguem diferenciar esses tipos diferentes de ataques. Eles tendem a gastar muito tempo lidando com o primeiro nível e gastando tempo insuficiente com o terceiro.

 

Os analistas do SOC lidam com as ameaças seguindo os processos estabelecidos em um manual de instruções que lhes informa sobre as etapas a serem tomadas para neutralizar um ataque. Isso pode ser bastante “mecânico”. Eles seguem os mesmos quatro ou cinco passos sem diferenciar entre os ataques não sofisticados e os graves.

 

Um ataque direcionado geralmente ocorre em vários estágios. Pode começar com spear phishing – enviando e-mails de um endereço conhecido para induzir um usuário a clicar em um link e baixar malwares. Esses e-mails são usados ​​para obter acesso à uma rede – para fazer o reconhecimento inicial antes que ocorra um ataque sustentado. Um analista de SOC normalmente segue as mesmas regras do manual para lidar com isso, como ocorre com ataques menos sofisticados. Eles precisam automatizar as coisas fáceis e gastar mais tempo nas tarefas desafiadoras.

 

Em caso de dúvida, leia o manual

Uma razão pela qual os SOCs lutam para diferenciar diferentes tipos de ataque é devido à dificuldade no processamento de grandes volumes de inteligência de ameaças a partir de recursos de prevenção automatizados, como firewalls e programas de proteção de terminais.

 

Às vezes, as organizações desativam esses recursos, pois eles podem diminuir a velocidade de suas redes. Mas isso pode, por outro lado, deixá-los expostos a ameaças.

 

Cada programa interfere no bom funcionamento da rede. Se todos os programas estiverem sendo executados ao mesmo tempo, isso pode reduzir a velocidade das operações. Desligá-los acelera a rede. Mas quando esses programas de prevenção estão em funcionamento, ocorre uma dor de cabeça ainda maior. Eles produzem “levas” de dados de ameaças da rede que precisam ser analisados ​​manualmente. Os SOCs podem rapidamente ficar sobrecarregados com o grande volume de alertas que processam.

 

A reação instintiva da maioria das empresas é continuar adicionando mais analistas ao SOC para lidar com o crescente número de alertas. No entanto, uma maneira mais eficaz de lidar com essa sobrecarga de dados é integrar todos esses programas de prevenção para que eles alimentem os dados em um painel central. Isso classificará centralmente as ameaças naquelas que são facilmente tratadas – e podem ser neutralizadas por sistemas automatizados – e aquelas que precisam de intervenção humana.

 

Você pode estar se perguntando sobre a melhor maneira de automatizar as ameaças de baixo nível. Isso pode ser realizado seguindo os processos descritos no manual do SOC. Por exemplo, se uma ameaça cibernética for descoberta visando um banco, um fornecedor de segurança normalmente enviará um aviso de alerta a bancos de tamanho semelhante. Ao receber o alerta, seus analistas do SOC pesquisam em sua rede para encontrar arquivos com características semelhantes à ameaça. Se eles encontrarem um, resolverão – provavelmente com um patch.

 

Libere seus analistas de SOC

Com um SOC de próxima geração, a inteligência de ameaças é automatizada. Um fornecedor que descobre uma possível ameaça envia as informações ao SOC da empresa cliente. O SOC de próxima geração verifica automaticamente a rede de computadores da empresa para ver se o arquivo incorreto entrou no sistema. Se ele identifica uma infecção com o arquivo, retira esse dispositivo da rede, notifica o analista do SOC e abre um ticket para lidar com essa ameaça. Tudo isso deve acontecer alguns segundos após a descoberta da ameaça – em vez das horas que um SOC tradicional leva para conseguir isso.

 

A automação de playbooks é direta – e essencial para criar um SOC de próxima geração. Ela permite que as máquinas assumam trabalhos manuais dispendiosos. O analista SOC da próxima geração deve ser liberado do trabalho de baixo nível para se concentrar no monitoramento de ameaças antes que elas surjam, na identificação e no tratamento de ataques direcionados.

 

Se você acha que o custo de execução do SOC está aumentando sem um aumento correspondente à proteção de segurança, pergunte ao seu CISO como o SOC pode ser automatizado para aumentar sua eficácia. Ofereça seu apoio na criação de um SOC de última geração que leve a automação e a proteção cibernética para o próximo nível e, então, você realmente obterá o valor do seu dinheiro para sua organização.

 

Como isso é algo importante, aqui está um passo-a-passo para criar um SOC de próxima geração:

 

  1. Automatize as tarefas mundanas e repetitivas de neutralizar ameaças de baixo nível;
  2. Integre dados de sistemas de prevenção, como firewalls e softwares de proteção de terminais, para fornecer ao SOC uma visão geral dos dados de ameaças;
  3. Automatize as etapas fáceis no manual do SOC;
  4. Por meio da automação, libere analistas de segurança para se concentrarem nas tarefas vitais de caçar ameaças e lidar com ataques direcionados.

 

Por Marcos Oliveira, Country Manager da Palo Alto Networks Brasil

 

Destaques

Segurança Adaptativa é tendência tecnológica para governos em 2024, aponta Gartner

ciberataques aumentam 38% no Brasil durante primeiro trimestre de 2024

Alta demanda em Cyber impulsiona terceirização de SOC no setor público

SEK anuncia aquisição da PROOF

Cases da VLI Logística, Unimed, SESC e Mater Dei são destaque na programação mineira do Security Leaders

Crimes cibernéticos: a personalização de ataques usando IA e ransomware

Colunas & Blogs

Avatar photo
Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs
Alex Amorim
Avatar photo
Minha organização foi invadida. E agora?
Fabio Correa Xavier
Avatar photo
Caminhada (Não tão) solitária rumo à Segurança Digital
Rodrigo Jorge
Avatar photo
Práticas recomendadas para proteger cargas de trabalho na nuvem
Luiz Firmino
Avatar photo
A caminho de uma Guerra Cibernética Mundial
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Crimes cibernéticos: a personalização de ataques usando IA e ransomware
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Overview

Segurança Adaptativa é tendência tecnológica para governos em 2024, aponta Gartner

CIOs (Chief Information Officers) ligados à área governamental devem aproveitar essa e outras tendências para expandir seus recursos...
Leia Mais
  • Matheus Bracco
  • abril 18, 2024
Security Report | Overview

ciberataques aumentam 38% no Brasil durante primeiro trimestre de 2024

Já o crescimento global foi de 28% no período. América Latina teve uma diminuição de 20% de ataques cibernéticos...
Leia Mais
  • Redação
  • abril 18, 2024
Security Report | Overview

Alta demanda em Cyber impulsiona terceirização de SOC no setor público

Contratação de serviços gerenciados é medida para enfrentar escassez de mão de obra qualificada e defasagem tecnológica na área governamental...
Leia Mais
  • Redação
  • abril 18, 2024
Security Report | Overview

SEK anuncia aquisição da PROOF

Empresa adquirida é referência MDR (Managed Detection and Response), maior subsegmento de serviços do mercado de Segurança da Informação e...
Leia Mais
  • Redação
  • abril 17, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit